Organizace musí nejen zpracovávat osobní údaje podle obecného nařízení o ochraně osobních údajů, ale musí být také schopna prokázat jejich soulad. To zahrnuje provádění záměrné ochrany údajů, vedení záznamů o činnostech zpracování a za určitých okolností provádění posouzení dopadu na ochranu údajů.
Ochrana osobních údajů už od návrhu a standardní nastavení ochrany osobních údajů
Jako správce údajů, a to jak při navrhování operace zpracování, tak v době zpracování, musíte zavést vhodná opatření a záruky, které zajistí dodržování zásad ochrany osobních údajů. Musíte také zajistit, aby byly standardně zpracovávány pouze osobní údaje, které jsou nezbytné pro každý konkrétní účel (to se týká množství údajů, rozsahu zpracování, omezení ukládání a jeho dostupnosti).
Jinými slovy, organizace, která uplatňuje záměrnou a standardní ochranu údajů, je organizací, která zvažuje a začleňuje ochranu údajů a soukromí jednotlivců do všech aspektů a ve všech fázích svých operací zpracování, do používaných nástrojů nebo jakékoli jiné obchodní činnosti.
Za tímto účelem musí vaše organizace před zahájením jakýchkoli operací zpracování vzít v úvahu:
- povahu, kontext a rozsah plánované operace zpracování;
- rizika, která mohou vyplývat z plánovaných operací zpracování nebo jiných obchodních činností, které mohou mít dopad na osobní údaje fyzických osob;
- technická a organizační opatření, která by měla být zavedena ke zmírnění zjištěných rizik, a tím zajistit odpovídající ochranu osobních údajů fyzických osob;
- technická a organizační opatření nebo postupy, které mají být zavedeny k zajištění toho, aby zpracování osobních údajů (zejména včetně shromažďování, uchovávání a celkového využívání údajů fyzických osob) bylo omezeno na to, co je nezbytné s ohledem na sledované cíle.
V praxi
- Knihkupectví chce zvýšit své příjmy prodejem knih online. Majitel knihkupectví chce vytvořit standardizovaný formulář pro objednávkový proces. V první řadě vlastník stanoví, že všechna pole ve formuláři jsou povinná, včetně data narození zákazníka, telefonního čísla a adresy bydliště. Ne všechna pole ve formuláři jsou však nezbytná pro účely prodeje a dodání knih.
Například při objednávce e-knihy si zákazník může stáhnout produkt přímo do svého zařízení. Jako taková nemohou být vyžadována některá pole ve webovém formuláři pro objednání knih. Majitel internetového obchodu se proto rozhodl vytvořit dva webové formuláře: jeden pro objednání knih s polem pro adresu zákazníka a jeden internetový formulář pro objednání elektronických knih bez pole pro adresu zákazníka. Vlastník přitom dbá na to, aby byly shromažďovány pouze údaje nezbytné pro zpracování. - Lékařská praxe zaměstnávající několik lékařů shromažďuje údaje o svých pacientech ve svém organizačním informačním systému. Různí lékaři mohou potřebovat přístup ke složkám pacientů, například když se starají o pacienty jiného lékaře, který je nepřítomen, a aby ho mohli informovat o svých rozhodnutích. Ta se mohou týkat péče o pacienty, jejich léčby a dokumentace všech přijatých diagnostických, pečovatelských a léčebných opatření. Ve výchozím nastavení je přístup umožněn pouze těm lékařům, kteří jsou přiřazeni k léčbě příslušného pacienta.
Je užitečné vést záznamy o těchto posouzeních a opatřeních, abyste mohli prokázat, že dodržujete zásady záměrné a standardní ochrany údajů. Schválený mechanismus pro vydávání osvědčení lze rovněž použít jako prvek k prokázání souladu se záměrnou a standardní ochranou osobních údajů.
Povinnost vést záznamy o zpracování údajů
Jako organizace máte povinnost vést záznamy o svých činnostech zpracování údajů. Tyto záznamy by měly být vedeny písemně, a to i v elektronické podobě.
Takový záznam poskytuje přehled o vašich činnostech zpracování. Chcete-li takový záznam vytvořit, měli byste určit, které z vašich činností vyžadují zpracování osobních údajů (například nábor, správa mezd, školení, správa odznaků a přístupu, seznam potenciálních zákazníků atd.). Každá z těchto operací zpracování musí být popsána v záznamu s těmito informacemi:
- účel zpracování (např. loajalita zákazníků)
- kategorie zpracovávaných údajů (např. pro mzdy: jméno, křestní jméno, datum narození, plat atd.)
- kdo má k údajům přístup (příjemci – např.: oddělení odpovědné za nábor, služby IT, řízení, poskytovatele služeb, partnery...)
- případně informace týkající se předávání osobních údajů mimo Evropský hospodářský prostor (EHP)
- pokud je to možné, dobu uchovávání (dobu, po kterou jsou údaje užitečné z provozního hlediska a z hlediska archivace)
- je-li to možné, obecný popis bezpečnostních opatření.
Za záznamy o činnostech zpracování odpovídá vedoucí vaší organizace. Tento záznam musí být na požádání k dispozici úřadu pro ochranu údajů v zemi EHP, kde působíte. Organizace zaměstnávající méně než 250 osob nemusí ve svých záznamech uvádět čistě příležitostné činnosti (např. údaje zpracovávané pro jednorázové události, jako je např. otevření obchodu).
Jak provést posouzení vlivu na ochranu osobních údajů (DPIA)?
Co je posouzení vlivu na ochranu osobních údajů?
Pokud je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, musí správce údajů provést posouzení vlivu na ochranu osobních údajů. Posouzení vlivu na ochranu osobních údajů je písemné posouzení plánované operace zpracování osobních údajů. Pomůže vám určit vhodná ochranná opatření ke zmírnění rizik a prokázat dodržování předpisů.
Kdy provést posouzení vlivu na ochranu osobních údajů?
I když je vždy vhodnější předvídat dopad plánovaných operací zpracování vaší organizace provedením posouzení vlivu na ochranu osobních údajů, je povinné provést takové posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Konkrétně se jedná o případ, kdy zamýšlené zpracování zahrnuje:
- rozsáhlé zpracování osobních údajů zvláštní kategorie a údajů týkajících se rozsudků v trestních věcech;
- systematické a rozsáhlé hodnocení osobních aspektů fyzické osoby založené na automatizovaném zpracování, včetně profilování, na němž jsou založena rozhodnutí, která mají pro dotčenou fyzickou osobu právní účinky nebo se jí obdobným způsobem významně dotýkají;
- systematické monitorování veřejně přístupných prostor ve velkém měřítku.
Ve většině případů by operace zpracování, které splňují dvě z následujících kritérií, měly být posouzeny prostřednictvím posouzení vlivu na ochranu osobních údajů:
- hodnocení nebo bodování
- automatizované rozhodování s právním nebo obdobným významným účinkem
- systematické sledování
- citlivé údaje nebo údaje vysoce osobní povahy = osobní údaje zvláštní kategorie
- údaje zpracovávané ve velkém měřítku
- přiřazování nebo kombinování souborů údajů
- údaje týkající se zranitelných subjektů údajů
- inovativní používání nebo uplatňování nových technologických nebo organizačních řešení
- pokud zpracování samo o sobě brání fyzickým osobám ve výkonu práva nebo v používání služby nebo smlouvy.
Do I need to carry out a DPIA?
Answer the questions through our interactive flowchart to find out!
Is the processing likely to result in high risks?
Do any exceptions apply?
- the processing operation envisaged is very similar to a processing which was the subject of a DPIA;
- the type of processing is in an exemption list that your data protection authority may have adopted;
- the processing operation is authorised under EU or national law.
Do I need to carry out a DPIA?
Yes, you need to carry out the DPIA
Any high risks remaining after the DPIA?
Do I need to carry out a DPIA?
No DPIA needed
Consult your Data Protection Authority
No need to consult your Data Protection Authority
Nejlepší tip pro DPIA
Obrátit se na orgán pro ochranu údajů v zemi EHP, v níž má vaše organizace sídlo, a zjistit, zda má veřejně dostupný dokument, v němž jsou uvedeny podmínky, za nichž budou operace zpracování vyžadovat posouzení vlivu na ochranu osobních údajů a které operace zpracování posouzení vlivu na ochranu osobních údajů (DPIA) nebudou potřebovat.
Příklady, kdy může být vyžadováno posouzení vlivu na ochranu osobních údajů:
- zpracování biometrických údajů, například skenování otisků prstů nebo obličejových rysů za účelem identifikace pacientů;
- používání údajů o zranitelných osobách pro marketingové účely, například k předvídání jejich nákupů;
- mobilní aplikace, která sleduje polohu jednotlivce.
Příklady případů, kdy posouzení vlivu na ochranu osobních údajů (DPIA) nemusí být vyžadováno
- plánované zpracování je velmi podobné zpracování, které bylo předmětem posouzení vlivu na ochranu osobních údajů
- zpracování je uvedeno na nepovinném seznamu operací zpracování (stanoveném vaším vnitrostátním orgánem pro ochranu údajů), na které se nevztahuje posouzení vlivu na ochranu osobních údaj
- operace zpracování je povolena podle právních předpisů EU nebo vnitrostátních právních předpisů
Co je třeba zahrnout do posouzení vlivu na ochranu osobních údajů?
Vaše posouzení vlivu na ochranu osobních údajů by mělo zahrnovat:
- popis plánované operace zpracování a jejího účelu
- posouzení nezbytnosti a přiměřenosti
- rizika, která může operace zpracování představovat
- opatření k řešení rizik
Předchozí konzultace během posouzení vlivu na ochranu osobních údajů
Pokud správce údajů nemůže nalézt dostatečná opatření ke snížení rizik na přijatelnou úroveň (tj. zbytková rizika jsou stále vysoká), je nutná konzultace s orgánem pro ochranu údajů. V takovém případě musí správce údajů poskytnout tyto informace:
- příslušné odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování
- účel zpracování a způsob, jakým bude zpracování prováděno
- plánovaná opatření na ochranu osobních údajů fyzických osob
- případně kontaktní údaje pověřence pro ochranu osobních údajů vaší organizace
- dotčené posouzení vlivu na ochranu osobních údajů
Po posouzení vlivu na ochranu osobních údajů - otestujte, vylepšete, zkontrolujte!
Jakmile je posouzení vlivu na ochranu osobních údajů vypracováno, musíte jej otestovat. V případě potřeby je zdokonalit, provádět operace zpracování, znovu posoudit, zda se vaše posouzení vlivu na ochranu osobních údajů shoduje s operací zpracování a provedení kontrolní kontroly.
Přečtěte si více
pracovní skupinu zřízenou podle článku 29: Pokyny pro posuzování vlivu na ochranu osobních údajů (DPIA)
Zpravodajství Evropské komise
vnitrostátní seznamy typů operací zpracování údajů, které vyžadují nebo nevyžadují posouzení vlivu na ochranu osobních údajů
Komise pro ochranu údajů, irský dozorový úřad
Kodexy chování
V závislosti na tom, kde se vaše organizace nachází v EHP, mohou existovat sdružení nebo jiné subjekty zastupující správce nebo zpracovatele údajů. Tato sdružení a subjekty mohou vypracovat kodexy chování, včetně mechanismů ochrany údajů, které mohou správci a zpracovatelé údajů dodržovat, aby pomohli zajistit dodržování osobních údajů fyzických osob v souladu s obecným nařízením o ochraně osobních údajů.
Tyto zavedené kodexy chování mají konkrétně zajistit například:
- že osobní údaje jsou zpracovávány korektním a transparentním způsobem
- že účely, pro které jsou osobní údaje fyzických osob zpracovávány, jsou legitimní
- jak pseudonymizovat osobní údaje
- aby byly jednotlivcům, jejichž osobní údaje jsou zpracovávány, poskytovány transparentní informace
- že je vhodným způsobem vyžadován souhlas se zpracováním osobních údajů jednotlivců, zejména osobních údajů týkajících se dětí
- aby byla zavedena veškerá technická a organizační opatření k zajištění bezpečného zpracování údajů fyzických osob
- aby byly dodrženy postupy pro oznamování případů porušení zabezpečení osobních údajů
- aby byly dodržovány postupy, včetně záruk, týkající se předávání osobních údajů do zemí a organizací mimo EHP
- aby byly dodržovány postupy týkající se soudních řízení a řešení sporů
Nelepší tip
- Obraťte se na příslušné sdružení nebo orgán, který připravuje kodexy chování podle nařízení GDPR. Tyto instituce vám mohou pomoci s dodržováním GDPR.
Osvědčení/Certifikace
Co je osvědčení/certifikace GDPR?
Organizace, která získá certifikaci GDPR, může tuto certifikaci použít k prokázání souladu svých operací zpracování s GDPR.
Orgány EHP pro ochranu údajů mohou například:
- vydávat certifikace podle nařízení GDPR ve vztahu ke svému vlastnímu systému certifikace;
- vydávat certifikáty GDPR sám, pokud jde o jeho vlastní systém certifikace, ale delegovat celý proces posuzování nebo jeho část na třetí strany;
- vytvořit vlastní systém certifikace a pověřit vydáváním těchto certifikací konkrétní subjekty;
- povzbuzovat trh k rozvoji mechanismů pro vydávání osvědčení;
- posuzovat systémy certifikace certifikačních orgánů.
Certifikační orgán je pověřen vydáváním, přezkumem a odebíráním osvědčení na základě mechanismu pro vydávání osvědčení a schválených kritérií.
Certifikační subjekty musí zdokumentovat své posouzení operací zpracování vaší organizace, pro něž může být vydána certifikace podle obecného nařízení o ochraně osobních údajů.
Moje organizace získala certifikaci podle obecného nařízení o ochraně osobních údajů, co bude dál?
Certifikace GDPR operace zpracování, kterou vaše organizace provádí, je platná po dobu maximálně 3 let, ale může být obnovena nebo zrušena. Aby byla tato certifikace zachována, musí vaše organizace průběžně a důsledně zavádět do praxe opatření týkající se operací ochrany údajů, které byly certifikovány.